S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Cyber : vols de données à l’Éducation nationale et à l’Enseignement catholique

Cyber : vols de données à l’Éducation nationale et à l’Enseignement catholique

Illustration : Flock

Le secteur de l’éducation vient de faire l’objet de deux intrusions distinctes ayant permis un vol de données personnelles. Au sein du ministère de l’Éducation nationale, c’est le portail RH Compas qui a exposé les informations de quelque 243 000 agents et stagiaires. Le Secrétariat général de l’Enseignement catholique reconnait quant à lui une attaque ayant entraîné un accès non autorisé à des données administratives et personnelles de plus de 1,5 million d’élèves, familles et enseignants.

Après les fédérations sportives, place au monde de l’éducation ? Deux incidents de sécurité impliquant une extraction de données personnelles ont été signalés dans le secteur.

243 000 comptes d’agents et de stagiaires exposés

Le plus récent concerne le ministère de l’Éducation nationale, qui a confirmé, mardi matin, avoir été alerté d’un accès frauduleux à la base de données alimentant le système COMPAS, dédié à la gestion des stagiaires des premier et second degrés. « L’accès frauduleux aurait été réalisé le 15 mars 2026 à la suite de l’usurpation d’un compte externe », indique le ministère :

« Les premières investigations indiquent qu’un volume de données concernant environ 243 000 agents, stagiaires ou titulaires, a été exfiltré. Elles concernent des éléments d’identité, des coordonnées (adresse et numéro de téléphone), des périodes d’absence (sans information de santé), ainsi que l’identité et les numéros de téléphone professionnels des tuteurs. »

Le Centre opérationnel de sécurité des systèmes d’information du ministère aurait alerté de cet incident le 19 mars au soir, vraisemblablement suite à la publication d’une annonce présentant un échantillon de ces données sur un forum dédié.

« Dès la détection de l’incident, une cellule de crise a été activée. L’accès externe au système concerné a été suspendu et des vérifications sont en cours sur l’ensemble des systèmes d’information du ministère afin de prévenir tout risque de propagation », promet le ministère. Le système d’information COMPAS était effectivement inaccessible mardi matin d’après nos constatations.

L’Éducation nationale appelle dans ce contexte l’ensemble de ses agents à faire preuve d’une attention particulière face aux tentatives de fraude.

L’enseignement catholique lui aussi visé, élèves et familles exposés

Quelques jours plus tôt, c’est le Secrétariat général de l’Enseignement catholique qui a tenu une communication du même acabit. Dans un communiqué daté du 21 mars (PDF), l’association a indiqué avoir subi « une attaque informatique ciblant l’application de gestion de ses établissements du premier degré ». Cette fois, l’hémorragie ne se limite pas aux personnels encadrants : « l’attaque a entraîné un accès non autorisé aux données relatives à l’identification des utilisateurs de cette application et aux coordonnées des élèves, de leurs familles et des enseignants ».

L’Enseignement catholique affirme avoir dûment sécurisé ses systèmes et répondu à ses obligations légales de signalement.

« Parallèlement, une communication proactive a été établie avec l’ensemble des chefs d’établissement, des enseignants et des parents d’élèves concernés pour les informer des mesures mises en place pour assurer la sécurisation des systèmes et transmettre des recommandations de vigilance, notamment relatives à la modification des accès et à l’usage de mots de passe complexes. »

Un message d’information a également été envoyé aux parents d’élève (PDF). Dans sa communication, l’association ne précise pas le périmètre exposé, mais celui-ci serait significatif : la fuite toucherait ainsi « 1,5 million de personnes, soit les 800 000 élèves du premier degré (écoles maternelles et élémentaires, ndlr), leurs familles, et 40 000 professeurs » d’après Stéphane Gouraud, secrétaire général adjoint de l’Enseignement catholique, cité par l’AFP.

L’association promet par ailleurs s’être entourée d’experts pour « limiter les conséquences potentielles de cet incident ». La combinaison d’informations personnelles liées aux familles, aux enfants et aux conditions d’accueil scolaire crée en effet un cocktail particulièrement efficace en matière d’ingénierie sociale…

Commentaires (17)

votre avatar
Encore une fuite de données pour ma pomme...🫠
Je vais finir par faire une page dédiée avec toutes mes données personnelles en clair, ça sera plus simple pour tout le monde...
votre avatar
Je peux avoir l'url, n'oublie pas scan du passeport et carte d'identité, photos, justificatif de domicile, attestation caf, rib, signature :troll:
votre avatar
et pourquoi pas une photo recto verso de la CB pendant qu'on y est?:D
votre avatar
Il faut savoir être exhaustif donc pourquoi pas ?
votre avatar
Je suis curieux de l'appli de gestion d'établissement scolaire utilisée par l'Enseignement Catholique. (que je pense pas avoir vu dans l'article et que je ne trouve pas de façon évidente ailleurs)

L'école associative de mes n'enfants utilise aussi un prestataire (y a pas vraiment le choix) pour le soft de gestion administrative (gestion, paie, base élèves, etc...) et c'est pas comme si y avait 42 fournisseurs de ce genre pour les établissements scolaires privés sous contrat.
votre avatar
c'est a priori un CRM du marché, oui, je n'ai pas trouvé trace de la solution exacte employée (j'avoue ne pas avoir investigué la question en profondeur)
votre avatar
Si jamais t'as l'occasion de creuser ... en gros y a ProNote et EcoleDirecte et leurs éditeurs respectifs. Et y a peut-être des acteurs plus petits sur le marché, mais vu que c'est l'Enseignement Catholique, ça devrait plutôt être un des gros.
votre avatar
C'est un système d'information géré en propre : https://www.ec-gabriel.fr/
A priori développé par une agence (NetSTIM) pour le compte de l'enseignement catholique
votre avatar
Mais pourquoi, les systèmes ne bloquent pas les requêtes demandant l'accès à des milliers fichiers. Comment peut-on concevoir un système où c'est normal de demander 200000 fiches.
votre avatar
Parce que dans la réalité, c'est compliqué à faire et nécessite un développement à part entière, qu'il faudra évidement maintenir, et gérer les cas légitimes bloqué qui ne correspondront pas au "pattern" habituel.

En gros, il faudrait faire des statisques de nombre de requetes par IP ou par login, sur la durée. Mais est-ce que les libs d'accès aux base de données permettent toute de le faire? quel base on met en place pour maintenir ces seuils? comment on intègre ca suffisament bas niveau ou au niveau de la bdd pour ne pas qu'un attaquant sur le front ne bypass ces règles? comment on fait arriver au niveau de la BDD l'ip et le login de l'appelant? bref... c'est compliqué.
votre avatar
Ce n'est pas si compliqué si c'est prévu dès l'origine et beaucoup de choses peuvent se faire dans la base de données elle-même.

Beaucoup de choses peuvent se faire et certaines assez simplement:


  • la limite sur le nombre de réponses par requête s'impose facilement en SQL ;

  • la limitation du nombre de requêtes par heure pour un login donné implique de journaliser les accès: soit dans la base, soit au niveau d'un middleware ;

  • La limitation géographique des données accessibles par un login donné peut se faire également assez facilement si les données contiennent une composante géographique tout comme le login.



Dès lors que le login à la base de données se fait via les identifiants utilisateurs et non par un compte de middleware, aucun secret n'est stocké sur le serveur du middleware et pas mal de vérifications peuvent être envisagées directement dans la base.

Il reste aussi la possibilité de mettre en place un 2FA, ce qui devrait en fait être obligatoire, à minima pour tous ceux qui ont des comptes privilégiés.

Enfin, il est possible de journaliser les adresse IPv4 ou les préfixes IPv6 utilisés pour la connexion, via le middleware et restreindre les pays et ASN autorisés via un pare-feux.
votre avatar
Yep. Tout ça c'est très bien.
Dans la vraie vie de notre asso:

  • Les mots de passe c'est des pin à 4 chiffres. Pas "1234" mais presque

  • ... donc y a pas vraiment de culture op sec. (loin s'en faut)

  • Y a des backups externes fait par la boite de support donc elle a besoin de ses requêtes massives

  • Le compte privilégié (admin) sert tout les 4 matins pour corriger des bugs, ajuster des réglages --> pour les comptables/responsable administratif c'est une plaie à faire.

  • faut que ça marche: les paies de dizaines de salariés et les factures de centaines de familles, les commandes fournisseur (genre cantine, faut que les gamins bouffent) doivent être gérées en continue. Si la comptable, qui voit déjà son smartphone comme un machin vaguement toxique, entend parler de 2FA, je crée une révolution interne.

votre avatar
tu raisonnes après coup (analyser des patterns d'usage pour déterminer les règles de restrictions), si le truc est géré en amont d'office c'est beaucoup plus simple : tu limites fortement et tu ouvres petit à petit les quelques exceptions (si ily'en a).

Bon on spécule mais si ça se trouve le logiciel avait les gardes fous, volontairement désactivé par un humain, on en voit des vertes et des pas mûres :

  • on met le même mot de passe à tout le monde c'est plus simple,

  • on a désactivé la vielle windows sinon faut une astreinte de nuit pour déverrouiller les gars qui perdent le post-it avec le mot de passe...

votre avatar
Merci à @wanou pour sa réponse argumenté.

@ForceRouge Oui, c'est compliqué. Mais moins que d'aller récupérer la donnée quand elle a été volée
Cela implique en effet de former ses utilisateurs à accepter certaines contraintes (autorisation par un administrateur d'une action large).
votre avatar
@ForceRouge Oui, c'est compliqué. Mais moins que d'aller récupérer la donnée quand elle a été volée. Cela implique en effet de former ses utilisateurs à accepter certaines contraintes (autorisation par un administrateur d'une action large).
@Soriatane je dis pas qu'il ne faut pas le faire. C'est toujours une question de moyen. Je pense qu'avec @wanou, vous sous-estimez la quantité de travail.

Contre l'extraction de donnée massif, ça doit se passer au niveau de la base de donnée. Car t'as beau mettre toutes les sécurités que tu veux sur le processing en amont, s'il est troué et que l'attaquant peut faire les requêtes qu'il veut en base, c'est perdu. Maintenant, comment tu ramènes de façon certaine l'IP de la connexion TCP du client sur le load balancer en entrée, au niveau de la base de donnée? Tu peux remplacer toutes tes requêtes par des procédures stockées limitantes (bonjour la charge de travail), mais comment tu fait faire des statistiques sur le nombre de ligne renvoyé au global sur la seconde? la minute? l'heure? la journée? comment tu définis les patterns normal et anormal? La on parle de 200000 comptes. Si des requetes sur 1000 compte sont "normales" sur une journée (ex: de la facturation), bah tu vas mettre une limite à 2000 pour ne pas atteindre cette limite, bon bah 10j suffit pour tout dumper.

Tu te protèges comment d'un vol de donnée de l'intérieur d'un salarié malintentionné?

Si je prends le domaine du paiement en Europe, que je connais un peu, on n'a jamais (à ma connaissance, sinon très rarement) de vol de donnée bancaire critique (numéro de CB, crypto, date d'expiration, code PIN, etc...). Pourquoi? parce que ce secteur est soumis à des normes ultra strict de sécurisation des données, et de "séparation des pouvoir" pour que même quelqu'un de malintentionné en interne ne puisse pas tout dumper.
Dans ce domaine, le champ Nom/Prénom n'est pas sécurisé de la même façon que le numéro de CB, qui est sécurisé encore d'une autre façon que le PIN.
Entrer dans ce niveau de détail, avec tout le matériel de chiffrement, ainsi que les procédures d'accès et de modification de ce matériel, etc... (je simplifie énormément) ca nécessite une quantité de temps et d'argent dont tu n'as probablement pas idée.

Est-ce qu'on a les moyens de sécuriser 200.000 comptes des stagiaires de l'éducation national qui n'ont quasiment aucune valeur (nom, prénom, age, relevé d'absence...) comme on sécurise un paiement? pas sure.
votre avatar
J'ai surtout souligné que les choses étaient bien plus simple quand c'était prévu dès la conception. Mais il y a tout de même des choses que l'on peut faire après coup pour améliorer tant bien que mal la sécurité des données, sans que cela implique de tout reconcevoir.

Concernant la partie IP dont j'ai parlé, c'est le travail d'un bastion de filtrer les accès externes par ASN et pays. Cela permet par exemple de bloquer ce qui ne vient pas de France et ce qui arrive d'un VPN qui aurait francisé un accès, si tu considère que l'outil ne doit pas être accédé hors de France.

En interne, pour éviter l'écoute sur le réseau, il est possible d'imposer la connexion chiffrée entre les clients (serveur web ou client lourd), et la base de données. Avec Mysql et Mariadb, c'est certain et je pense que cela est possible également avec Postgre SQL, Oracle et MS sqlserver.

Toujours sur la base de données, pour les sauvegardes et les réparations des données, un accès non root à l'OS et à la base est à privilégier : un utilisateur n'ayant pas les droits root sur le serveur et pas les droits root sur le serveur de base de données. Uniquement un accès total ou presque, à la base. Cet accès doit être limité à certaines adresses IP, en bloquant localhost pour cet utilisateur spécial si l'administration de la base se fait depuis une autre machine locale.

Il est toujours possible de créer un utilisateur spécial pour les sauvegardes, un utilisateur qui soit le seul à avoir le droit de faire un dump ou une restauration de la base, mais qui n'ait que les droits strictement nécessaires pour ce travail.

Concernant les accès, à l'outil, avant la base de données, il y a des moyens d'agir:

  • il est assez facile de tracer qui se connecte (quel login), et quand et ajouter un temps minimum entre deux requêtes : c'est ce que font les serveurs mail pour limiter le spam.

  • On peut aussi limiter les heures autorisées pour les accès courants: pour rappel, c'est via ces accès obtenus par ingénierie sociale que les pirates se connectent à des heures où personne d'autre n'est présent.

  • A partir du journal de connexion, on peut faire une analyse horaire avec un cron et détecter les volumes de requêtes horaire qui dépassent une limite déterminé. Un tel utilisateur peut être temporairement bloqué, avec une action d'un admin de l'outil pour le débloquer.



Et on en revient toujours au 2FA pour tous les accès privilégiés au frontend de l'outil. Le 2FA peut n'être mis en place que pour une population donnée. C'est ce que je fait par exemple avec Nextcloud.

Et je ne parle pas là de tout ce qui peut être fait dans la conception de l'outil et du modèle de données pour, par exemple, limiter les accès d'un utilisateur aux données qui le concernent. Exemple: la limitation géographique des accès d'un conseiller pôle emplois aux candidats de son agence ou de son bassin d'emplois.
Tu te protèges comment d'un vol de donnée de l'intérieur d'un salarié malintentionné?
Il y a déjà le cloisonnement des accès et c'est pratiqué dans beaucoup d'entreprises. Les salariés n'accèdent qu'aux données dont ils ont besoin. Et cela peut varier dans le temps quand il s'agit de données projet.

Au niveau comptabilité:

  • Il y a l'automatisation de certaines actions comme les rapprochements bancaires, qui permet de ne pas avoir besoin de sortir les écritures en csv pour les comparer aux mouvement du compte bancaire. Tout peut se faire dans l'outil.

  • Il y a la limitation des possibilité d'extraction sur l'exercice en cours ;

  • On peut aussi limiter les extractions sur certaines parties géographiques de la compta quand une entité possède plusieurs établissements très éloignés les uns des autres.



Si les données sont stockées chiffrées, un administrateur système peut faire ses sauvegardes et restaurations sans pouvoir y accéder. Il est aussi possible de chiffrer la sortie d'un dump sql.

Globalement, avec un salarié mal intentionné comme avec un pirate, on ne peut que limiter la casse en cas d'attaque.
Est-ce qu'on a les moyens de sécuriser 200.000 comptes des stagiaires de l'éducation national qui n'ont quasiment aucune valeur (nom, prénom, age, relevé d'absence...) comme on sécurise un paiement? pas sure.
Beaucoup de problèmes de ces outils sont liés à leur défauts de conception. Sans même chercher à atteindre les niveaux de sécurité du monde bancaire, il y a largement de quoi faire mieux.

Comme cela a déjà été dit, le simple fait de purger les données trop anciennes ou les mettre en archives froides pendant le temps légal de conservation aurait permis de limiter l'impact de l'attaque.

Une simple politique d'archivage. C'est si compliqué à mettre en place ?
votre avatar
Au tour du Cnous...
Le Centre national des œuvres universitaires et scolaires (Cnous) a reconnu le piratage des données de près de 800.000 étudiants ou anciens étudiants